1、電子商務支付安全分析130403140孟然參考文獻卜慶鋒電子商務與網絡營銷課程1.1 研究意義全球經濟發展正在進入信息經濟時代， 21 世紀是個信息化的世界， 信息交換在 21 世紀已經 漸漸成為一種趨勢，同時，有專家預測電子商務是未來 25 年內世界經濟發展的一個重要推 動力，其產生的作用甚至可以與 200年以前工業革命對經濟發展的促進作用相媲美。 正像江 澤民主席在 APEC第六次領導人非正式會議上指出的那樣：“電子商務代表著未來貿易方式發展的方向，其應用推廣將給各成員帶來更多的貿易機會。”與傳統商務模式相比，電子商務將對人類社會生活產生重大影響， 也必將對我國傳統產業的改造和提升發揮積極

2、的推進作 用。隨著電子商務的發展， 在網上進行商品的交換越來越成為一種趨勢， 同時隨之而來的是 電子商務網上支付問題的以及安全問題的產生， 研究這個課題有助于對電子商務以及安全問 題有一個體系的了解，同時提高對網上支付的安全意識。1.2 研究背景電子 商務作為一種新型網上在線貿易方式， 使 企業 與消費者擺脫了傳統的商業中介的束縛， 但是電子商務交易中最為重要的環節一一網上支付，其安全問題依然是阻礙電子商務快 速 發展 的瓶頸之一。首先給出現有的網上支付工具及其特點，然后對現階段網上支付的安 全問題進行了分析，最后提出了解決這些安全問題的若干對策。電子商務的發展現狀中國電子商務研究中心數據顯示

3、， 截止到 2012年底，中國電子商務市場交易規模達 7.85 萬 億人民幣，同比增長 30.83%。其中，B2B電子商務交易額達 6.25萬億，同比增長 27%。而 2011年全年，中國電子商務市場交易額達6萬億人民幣，同比增長 33%，占GDP比重上升到13%； 2012年，電子商務占GDP的比重已經高達15%。預計2013年我國電子商務規模將 突破十萬億大關。中國電子商務研究中心數據顯示， 截止到 2012 年底， 中國網絡零售市場 （包括 B2C 和 C2C） 交易規模突破 1萬億大關，達13205億元，同比增長 64.7%，占到社會消費品零售總額的6.3%。而 2011 年全年，網絡

4、零售市場交易額達 8014 億人民幣，同比增長 55.98%，已占到了社會 消費品零售總額的 4.4%網上支付系統的構成 基于互聯網的電子交易支付系統由客戶、商家、認證中心、支付網關、客戶銀行、商家銀 行和銀行網絡七個部分組成。商家是指向客戶提供商品或服務的單位或個人。在電子支付系統中，它必須能夠根據客戶 發出的支付指令向金融機構請求結算， 這一過程一般是由商家設置的一臺專門的服務器來處 理的。一般是指利用電子交易手段與企業或商家進行電子交易活動的單位或個人。它們通過電子交易平臺與商家交流信息，簽訂交易合同，用自己擁有的網絡支付工具進行支付。1.4.3 支付網關 支付網關是完成銀行網絡和因特網

5、之間的通信、協議轉換和進行數據加、解密，保護銀行 內部網絡安全的一組服務器。 它是互聯網公用網絡平臺和銀行內部的金融專用網絡平臺之間 的安全接口， 電子支付的信息必須通過支付網關進行處理后才能進入銀行內部的支付結算系 統。不過 2013 年淘寶的支付體系里面可以實行快捷支付，沒有通過銀行網關，在一定程度 上是增加了支付安全的風險。 1.4.4 認證中心認證中心是交易各方都信任的公正的第三方中介機構，它主要負責為參與電子交易活動的 各方發放和維護數字證書， 以確認各方的真實身份， 保證電子交易整個過程的安全穩定進行。 目前比較大型和具有知名度的第三方認證中心是支付寶，財付通。 1.4.5 客戶銀

6、行客戶銀行是指為客戶提供資金賬戶和網絡支付工具的銀行，在利用銀行卡作為支付工具的 網絡支付體系中， 客戶銀行又被稱為發卡行。 客戶銀行根據不同的政策和規定， 保證支付工 具的真實性，并保證對每一筆認證交易的付款。 1.4.6 商家銀行商家銀行是為商家提供資金賬戶的銀行，因為商家銀行是依據商家提供的合法賬單來工作 的，所以又被稱為收單行。客戶向商家發送訂單和支付指令， 商家將收到的訂單留下， 將客 戶的支付指令提交給商家銀行， 然后商家銀行向客戶銀行發出支付授權請求， 并進行它們之 間的清算工作。網上支付安全問題在網上進行交易是都很關心的問題， 交易直接涉及到我們的銀行卡或者其他支付方式里面的

7、金額問題， 必須在交易中保證交易雙方的金額安全， 那么造成網上交易安全的威脅來自哪些 方面呢？或者說是有什么漏洞造成這些安全問題的發生硬件方面電子商務的基礎是網絡，沒有網絡，信息流就不會流通，當然談不上電子商務， 而網絡的物理支撐是各種硬件設施， 這些硬件設施會由于各種原因帶來安全風險。 硬件安全問題雖然發生的概率不大， 但是旦發生，其影響巨大。一旦發生將會給有關企業和個人造成巨大影響和嚴重經濟損失軟件方面交易網絡的形成不僅需要計算機硬件設備， 更需要相應的軟件， 各種軟件是網絡運行所必需， 也是電子商務的另一個支撐點。 由于技術方面或者人為方面的原因，各種軟件都會存在不可避免的缺陷和漏洞，而

8、且目前軟件的多樣性和復雜性， 在使用中也會有突現各種問題， 導致電子商務系統中存在技術誤差和安全漏洞。 比如，個別軟件可能會因為自身的缺陷，在某些的情況下，可能造成系統運行故障。應用方面 第一點 企業管理水平低，人員素質不高 電子商務在最近幾年飛速發展， 專業的電子商務人才得不到及時充分 的補充，缺乏足夠的技術來處理所遇到的各種問題。 許多企業技術人 員的技術水平較低， 不能完全勝任所承擔的工作。 同時企業對電子商 務的管理也處于一個摸索前進的階段， 綜合管理的水平不高， 處理事 務的效率低下。這些因素都會導致電子商務帶交易的安全隱患。第二點 消費者相關知識貧乏，安全意識不高 從總體上講， 電

9、子商務這種新型的購物方式最近今年才的到普及， 廣 大消費者對于他還比較陌生， 缺乏相應的知識， 還不能十分熟練的應 用這一新的交易手段，有操作失誤的導致等安全隱患存在。例如：有 的消費者缺乏安全意識，不注意保護自己支付密碼等關鍵重要信息， 容易導致資金損失等； 有的消費者對真假信息判斷能力差， 容易上當 受騙；有的消費者對網絡交易的流程不夠了解， 容易導致操作失誤等。技術方面的對策 數據加密。數據加密被認為是電子商務最基本的安全保障形式， 可以從根本上滿 足信息完整性的要求，它是通過一定的加密算法，利用密鑰 (Secret keys來對敏感信息進行加密，然后把加密好的數據和密鑰通過 安全方式發

10、送給接收者， 接收者可利用同樣的算法和傳遞過來的密鑰 對數據進行解密，從而獲取敏感信息并保證網絡數據的機密性。4.1.2 數字簽名 數字簽名是公開密鑰加密技術的另一類應用。 它的主要方式是： 報文 的發送方從報文文本中生成一個散列值 （或報文摘要 ），發送方用自己 的私鑰對這個散列值進行加密來形成發送方的數據簽名。 然后，這個 數據簽名將作為報文的附件和報文一起發送給報文的接收方。 報文的 接收方首先從接收到的原始報文中計算出散列值 （或報文摘要 ），接著 再用發送方的公鑰來對報文附加的數字簽名進行解密。 如果兩個散列 值相同，那么接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始

11、報文完整性的鑒別和不可抵賴性。4.1.3 安全協議在國際上，比較有代表性的電子支付安全協議有SSL和SET SSL安 全槽層）協議是由Netscape公司研究制定的安全協議。通俗地說，SSL 就是客戶和商家在通信之前，在 Internet 上建立了一個“秘密傳輸信 息的信道”，來保障傳輸信息的機密性、完整性和認證性。該協議向 基于TCP/IP的客戶/服務器應用程序提供了客戶端和服務器的鑒別、 數據完整性及信息機密性等安全措施。 該協議在應用程序進行數據交換前通過交換SSL初始握手信息來實現有關安全特性的審查。SSL協 議運行的基點是商家對客戶信息保密的承諾。 客戶的信息首先傳到商 家，商家閱讀后再傳到銀行。這樣，客戶資料的安全性便受到威脅。另外，整個過程只有商家對客戶的認證，缺少客戶對商家的認證。在 電子商務的初始階段， 由于參加電子商務的公司大都信譽較好， 這個 問題沒有引起人